1. ¿Qué es un subprocesador?
Un subprocesador es un proveedor externo que, por mandato de Lumicost, procesa datos personales o de servicio para hacer funcionar nuestra plataforma. Cumplimos con los requisitos del artículo 28 del GDPR y de la Ley 21.719 de Chile en cuanto a transparencia y notificación previa de cambios.
2. Alcance del tratamiento de datos
Lumicost procesa únicamente los datos del Cliente que son necesarios para entregar el servicio. No vendemos, no compartimos para fines de marketing y no monetizamos datos personales. El acceso interno está limitado por roles, MFA y registrado en el audit log.
2. Lista vigente
| Proveedor | Propósito | Región | Certificaciones |
|---|---|---|---|
| Fly.io | Hosting de la aplicación (containers) y red privada inter-servicios. | US (iad), BR (gru) | SOC 2 Type II (Fly.io security program) |
| Neon (Postgres) | Base de datos relacional gestionada con PITR y replicación. | US-East | SOC 2 Type II (Neon security program) |
| Auth0 (Okta) | Identity provider, MFA, SSO/SAML, gestión de sesiones. | US (tenant principal) | SOC 2 Type II, ISO 27001 (Okta compliance program) |
| Cloudflare | DNS, CDN, mitigación DDoS, WAF, certificados TLS. | Global (anycast) | SOC 2 Type II, ISO 27001 (Cloudflare compliance program) |
| Paddle | Procesador de pagos y Merchant of Record (impuestos globales). | Global | SOC 2 Type II, PCI DSS Level 1 (Paddle compliance program) |
| Google (OAuth) | Inicio de sesión opcional con cuenta de Google (scopes openid, email, profile). | Global | SOC 2/3, ISO 27001 (Google compliance program) |
3. Notificación de cambios
Notificamos a clientes Enterprise con al menos 30 días de antelación ante la incorporación o sustitución de un subprocesador material, vía email al contacto técnico registrado y mediante actualización de esta página. Los clientes pueden objetar el cambio dentro de los 30 días; si la objeción no puede resolverse, ofrecemos terminación del contrato sin penalidad sobre el período no consumido.
4. Datos transferidos
- Datos de cuenta y autenticación: solo a Auth0 (gestión de identidad).
- Datos de facturación: solo a Paddle (procesamiento de pagos). Lumicost no almacena números de tarjeta.
- Datos del producto (configuraciones, recommendations, alertas, audit logs): se almacenan en Postgres (Neon) y son accesibles a operación interna de Lumicost. No se comparten con terceros excepto cuando lo solicita el propio cliente (ej. integración con Jira).
- Datos cloud del cliente (metadatos de billing y configuración cloud): permanecen dentro de la base de datos de Lumicost (Neon) y no se comparten con otros subprocesadores.
5. Transferencias internacionales
Algunos subprocesadores procesan datos fuera de Chile y de la UE. Para esas transferencias aplicamos:
- Cláusulas Contractuales Tipo (SCC) de la Comisión Europea cuando corresponde.
- Acuerdos de Procesamiento de Datos (DPA) firmados con cada proveedor.
- Verificación de certificaciones equivalentes (SOC 2, ISO 27001).
6. Contacto
Para preguntas sobre subprocesadores, DPA o transferencias internacionales: security@lumicost.com (asuntos contractuales: sales@lumicost.com).